Глава 10. Оценка процесса контроля за качеством данных

10.1. В рамках оценки СВА банка рекомендуется провести проверку:

- соответствия фактического процесса обеспечения качества данных в периметре применения ПВР требованиям, установленным Приложением 2 к Положению N 845-П, внутренним методикам банка, на основе проведения следующих аудиторских мероприятий:

- достаточности и корректности результатов оценки внутренней валидации, в том числе процедур, выполненных в ходе валидации внутренних моделей ПВР (рейтинговых систем), в качества данных и ИС банка на соответствие требованиям Положения N 845-П и внутренним методикам банка. В рамках оценки процесса контроля за качеством данных СВА рекомендуется осуществлять следующие аудиторские мероприятия.

10.3. Провести анализ реестра проверок качества данных в периметре применения ПВР:

- качества данных о событиях дефолта в реестре дефолтов банка (в том числе источников первичной информации о состоянии дефолта);

- качества данных, использованных для разработки внутренних моделей ПВР (состав и полнота выборок для разработки, тестирования, калибровки, расчета центральной тенденции (ЦТ) и их количественные характеристики, разметки данных о событиях дефолта ("в дефолте", "дефолт в течение года"), сегментации на основании данных первоисточников, корректности расчета, отбора или заполнения входных факторов модели, в том числе соблюдение экономического смысла факторов);

- качества данных, использованных для проведения валидации, мониторинга внутренних моделей ПВР (рейтинговых систем) (состав выборки для валидации и ее количественные характеристики, корректности разметки данных в части событий дефолта и сегментации, корректности данных, используемых для проведения валидационных тестов);

- качества данных, использованных для расчета RWA (входные параметры (PD, LGD, EAD);

- в иных процессах применения ПВР;

- корректности информации (данных), направляемых в соответствии со статьей 72.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном Банке Российской Федерации (Банке России)" (в рамках проверки кредитной организации, головной кредитной организации банковской группы оценки применения банковских методик управления рисками и моделей количественной оценки рисков) на полноту, непротиворечивость предоставляемых данных и их соответствие первичным источникам (корректности миграции данных из первоисточников);

10.4. Провести анализ методики расчета показателей (индикаторов) качества данных и ее фактического применения (проверка закрепления предельно допустимых значений показателей (индикаторов) качества данных в периметре применения ПВР во внутренних методиках банка, проведения анализа фактических показателей (индикаторов) качества данных против предельно допустимых, проверка применения консервативного подхода к определению кредитного риска в случае нарушения предельно допустимых значений показателей (индикаторов) качества данных с учетом требований пункта 2.16 и Приложения 3 к Положению N 845-П);

10.5. Провести анализ методики определения степени эффективности системы управления качеством данных и ее фактического применения (проверка закрепления предельно допустимых значений показателей эффективности качества данных в периметре применения ПВР во внутренних методиках банка, проведения анализа фактических показателей эффективности качества данных против предельно допустимых, проверка применения консервативного подхода к определению кредитного риска в случае нарушения предельно допустимых значений показателей эффективности качества данных с учетом требований пункта 2.16 и Приложения 3 к Положению N 845-П);

10.6. Провести анализ отчетов о результатах сверки данных в периметре применения ПВР с данными бухгалтерского учета на соответствие периодичности ее проведения (ежемесячно);

10.7. Провести анализ отчетности по результатам работы системы управления качеством данных в банке на соответствие требованиям периодичности их подготовки и рассмотрения уполномоченными органами управления банка (в том числе, отчеты о качестве данных, используемых, в том числе, при разработке, валидации и применении внутренних моделей ПВР (рейтинговых систем); отчеты о проведенной работе по обеспечению качества данных, результатов оценки состава, архитектуры и характеристик ИС в периметре применения ПВР и иная документация, связанная с процедурами и мероприятиями, обеспечивающими качество данных);

10.8. Провести анализ процесса обеспечения достаточности ИС в периметре применения ПВР (оценка надежности, обеспечения непрерывности функционирования и информационной безопасности ИС, управление версиями ИС и обеспечение тестирования ИТ-систем);

10.9. Провести анализ процессов оценки надежности ИС, включенных в периметр применения ПВР (состав, архитектура и характеристики ИС оцениваются на их достаточность для надежного применения ПВР ежегодно, и при наличии недостатков в ИС принимаются меры по их устранению);

10.10. Провести проверку корректности реализации мер (контролей), направленных на обеспечение непрерывного функционирования ИС и мер (контролей), направленных на обеспечение информационной безопасности в периметре применения ПВР и их эффективности (с учетом пункта 7.7 Положения N 716-П):

- мер по обеспечению информационной безопасности информационной системы банка;

- мер по управлению доступом к данным;

- мер по применению средств защиты от воздействия вредоносного кода;

- мер по обеспечению информационной безопасности с помощью средств криптографической защиты информации;

- мер по обнаружению инцидентов информационной безопасности и реагированию на них;

- мер по мониторингу обеспечения информационной безопасности.

10.11. Банк может самостоятельно определить дополнительные требования к используемым ИС банка.